CAPEC-162 · Манипуляция скрытыми полями

CAPEC-162ДетальныйЧерновик

Абстракция: Детальный

Статус: Черновик

Манипуляция скрытыми полями

Злоумышленник эксплуатирует доверие сервера к обработке на стороне клиента, изменяя данные на стороне клиента — например, сведения о цене — и последующей отправкой этих данных серверу, который обрабатывает изменённые данные. Например, электронное мошенничество с покупками (eShoplifting) — это атака на манипуляцию данными, направленная против интернет-магазина в ходе транзакции покупки. Манипуляция полями цены, скидки или количества в транзакционном сообщении позволяет злоумышленнику приобретать товары по стоимости ниже, чем предполагал продавец. Злоумышленник совершает обычную транзакцию покупки, но редактирует скрытые поля HTML-формы с ценами или иными сведениями, чтобы получить более выгодные условия. Продавец затем использует изменённые сведения о цене при расчёте стоимости выбранных товаров.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

CWE-602

Продукт состоит из сервера, который полагается на клиент в реализации механизма, предназначенного для защиты сервера.

Связанные уязвимости

CVE-2026-23478Cal.com is open-source scheduling software. From 3.1.6 to before 6.0.7, there is a vulnerability in a custom NextAuth JWT callback that allows attackers to gain full authenticated access to any user's account by supplying a target email address via session.update(). This vulnerability is fixed in 6.0.7.

CVE-2025-51682mJobtime 15.7.2 handles authorization on the client side, which allows an attacker to modify the client-side code and gain access to administrative features. Additionally, they can craft requests based on the client-side code to call these administrative functions directly.

CVE-2025-28168Уязвимость в компоненте Multiple File Upload для OutSystems, затрагивающая версии до 3.1.0. Проблема заключается в неправильной обработке параметра supportedExtensions. Злоумышленник может перехватить запрос на загрузку файла и изменить параметр supportedExtensions, чтобы разрешить произвольные типы файлов. Поскольку проверка типа файла выполняется исключительно на стороне клиента, это позволяет злоумышленнику обойти ограничения и загрузить неавторизованные или вредоносные файлы на сервер. Кроме того, проверка размера файла также выполняется только на стороне клиента, что позволяет злоумышленнику обойти ограничения и загрузить чрезмерно большие файлы, что может привести к DoS-атакам или истощению ресурсов сервера. Для эксплуатации можно использовать прокси-инструменты, такие как Burp Suite, для изменения запросов [2]. Источники: - [1] https://www.outsystems.com/forge/component-overview/200/multiple-file-upload-o11 - [2] https://gist.github.com/IamLeandrooooo/01090be3023f5e7c7397bb9b1f5505b9

CVE-2025-27681Vasion Print (ранее PrinterLogic) до применения Virtual Appliance Host 1.0.735, приложение 20.0.1330 неправильно обрабатывает безопасность межпроцессного взаимодействия клиента V-2022-004.

CVE-2025-10640An unauthenticated attacker with access to TCP port 12306 of the WorkExaminer server can exploit missing server-side authentication checks to bypass the login prompt in the WorkExaminer Professional console to gain administrative access to the WorkExaminer server and therefore all sensitive monitoring data. This includes monitored screenshots and keystrokes of all users. The WorkExaminer Professional console is used for administrative access to the server. Before access to the console is granted administrators must login. Internally, a custom protocol is used to call a respective stored procedure on the MSSQL database. The return value of the call is not validated on the server-side. Instead it is only validated client-side which allows to bypass authentication.

CVE-2024-12603Логическая уязвимость в мобильном приложении (com.transsion.applock) может привести к обходу пароля приложения.

CVE-2023-0750Yellobrik PEC-1864 реализует проверки аутентификации через javascript во фронтенд-интерфейсе. Когда устройство может быть доступно через сеть, атакующий может обойти аутентификацию. Это позволит атакующему: - Изменить пароль, что приведет к отказу в обслуживании пользователей; - Изменить источник трансляции, что скомпрометирует целостность потока; - Изменить место назначения трансляции, что скомпрометирует конфиденциальность потока. Эта проблема затрагивает Yellowbrik: PEC 1864. Производитель не выпустил патч, так как эта модель была снята с производства.

CVE-2022-20658Уязвимость в веб-интерфейсе управления Cisco Unified Contact Center Management Portal (Unified CCMP) и Cisco Unified Contact Center Domain Manager (Unified CCDM) может позволить прошедшему проверку подлинности удаленному злоумышленнику повысить свои привилегии до администратора. Эта уязвимость связана с отсутствием проверки разрешений пользователя на стороне сервера. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный HTTP-запрос в уязвимую систему. Успешная эксплуатация может позволить злоумышленнику создавать учетные записи администратора. С помощью этих учетных записей злоумышленник может получать доступ к телефонным и пользовательским ресурсам и изменять их на всех платформах Unified, связанных с уязвимым Cisco Unified CCMP. Для успешной эксплуатации этой уязвимости злоумышленнику потребуются действительные учетные данные расширенного пользователя.

CVE-2025-33025В устройствах RUGGEDCOM ROX MX5000, MX5000RE, RX1400, RX1500, RX1501, RX1510, RX1511, RX1512, RX1524, RX1536, RX5000 всех версий ниже V2.16.5 обнаружена уязвимость в инструменте 'traceroute' веб-интерфейса. Уязвимость связана с отсутствием проверки вводимых данных на стороне сервера, что позволяет аутентифицированному злоумышленнику выполнить произвольный код с правами root. Источники: - [1] https://cert-portal.siemens.com/productcert/html/ssa-301229.html

CVE-2025-32469Уязвимость была выявлена в устройствах RUGGEDCOM ROX MX5000, RUGGEDCOM ROX MX5000RE, RUGGEDCOM ROX RX1400, RUGGEDCOM ROX RX1500, RUGGEDCOM ROX RX1501, RUGGEDCOM ROX RX1510, RUGGEDCOM ROX RX1511, RUGGEDCOM ROX RX1512, RUGGEDCOM ROX RX1524, RUGGEDCOM ROX RX1536, RUGGEDCOM ROX RX5000 версий до V2.16.5. Инструмент 'ping' в веб-интерфейсе уязвимых устройств подвержен внедрению команд из-за отсутствия проверки входных данных на стороне сервера, что может позволить аутентифицированному удаленному злоумышленнику выполнить произвольный код с правами root [1]. Источники: - [1] https://cert-portal.siemens.com/productcert/html/ssa-301229.html

CVE-2022-1525Система трехмерного измерения Cognex 3D-A1000 с версией прошивки 1.0.3 (3354) и более ранними версиями уязвима для CWE-602: принудительное применение безопасности на стороне клиента, которое может позволить злоумышленникам обходить элементы управления веб-доступом, проверяя и изменяя исходный код веб-элементов, защищенных паролем.

CVE-2026-25737Budibase is a low code platform for creating internal tools, workflows, and admin panels. In 3.24.0 and earlier, an arbitrary file upload vulnerability exists even though file extension restrictions are configured. The restriction is enforced only at the UI level. An attacker can bypass these restrictions and upload malicious files.

CVE-2025-61197An issue in Orban Optimod 5950, Optimod 5950HD, Optimod 5750, Optimod 5750HD, Optimod Trio Optimod version 1.0.0.33 - System version 2.5.26 allows a remote attacker to escalate privileges via the application stores user privilege/role information in client-side browser storage

CVE-2026-30783A vulnerability in rustdesk-client RustDesk Client rustdesk-client on Windows, MacOS, Linux, iOS, Android, WebClient (Client signaling, API sync loop, config management modules) allows Privilege Abuse. This vulnerability is associated with program files src/rendezvous_mediator.Rs, src/hbbs_http/sync.Rs and program routines API sync loop, api-server config handling. This issue affects RustDesk Client: through 1.4.5.